FAQ de comando y Control (C2)
Resolution
Se ha añadido una nueva categoría para el filtrado de URL. Esta nueva categoría será "comando y control" a romper más específicos desde dentro de la categoría de malware.
La funcionalidad completa, que es la categorización en vivo de URLs C2, se produce el miércoles 25 de octubre de 2017.
Nota: los administradores deben establecer su categoría de comando y control para bloquearlos inmediatamente.
Abajo se encuentra una FAQ sobre la categoría de comando y control.
¿No estábamos ya protegidos del C2?
Sí, usted siempre ha sido protegido de C2. Anteriormente, esto se clasificó dentro de malware.
¿Cuál es la diferencia entre malware y C2 y por qué debería importarme?
Palo Alto Networks ha estallado en detalles de dentro de la categoría de malware con C2. Malware es generalmente contenido malicioso, ejecutables, scripts, virus y código que intenta entregarse a través de su red de externa a interna. Estos intentos maliciosos están siendo bloqueados por el firewall. C2, extremos tratan de conectar externamente a servidores remotos. Estas conexiones se realizan de adentro hacia fuera. Una vez más, el firewall está bloqueando la conexión a los servidores remotos.
Sin embargo, analistas de seguridad va a reaccionar diferente a estas dos categorías distintas. En busca de malware, analistas razonablemente reconoce que la amenaza fue detenida por sus cortafuegos de redes de Palo Alto y el punto final no ha sido comprometido. Con C2, un punto final más probable es que ha convertido en comprometido porque está intentando ponerse en contacto con un servidor remoto y recuperación es necesario que ese particular punto final así como una evaluación para la infección de movimiento lateral.
¿Qué pasa si no cambio la categoría de C2 al bloque como la acción?
Si no cambias la acción predeterminada de la categoría C2 en bloque, todas las conexiones de intentadas a URLs relacionadas con C2 pueden pasar y conectar.
¿Por qué C2 no está establecido en bloque por defecto?
La funcionalidad de Palo Alto Networks establecer la acción predeterminada para el perfil predeterminado al bloque sólo está disponible en PAN-OS versión 8.0.2 y más tarde con contenido versión 738 o más reciente. Todos los clientes que ejecutan OS PAN 8.0.2+ con contenido 738 + tendrá su acción por defecto que se ajusta automáticamente al bloque en el perfil predeterminado. Esta funcionalidad no está disponible para las versiones tempranas de PAN-OS. (Tenga en cuenta, para los clientes de 8.0.2+ de PAN-OS, por favor cheque para asegurar que la acción se ha actualizado correctamente al bloque dentro del perfil por defecto).
Si tiene varios perfiles de seguridad de filtrado de URL, debe actualizar la acción predeterminada al bloque para cada uno de estos perfiles. Esto se aplica a todas las versiones de PAN-OS.
¿Cómo se define el C2?
Comando y control se define por Palo Alto Networks como URL y dominios utilizan por malware o sistemas subrepticiamente comunicarse con el servidor remoto de un atacante para recibir comandos maliciosos o rendir datos en peligro.
¿Qué es la línea de tiempo para el lanzamiento de la categoría C2?
Actualización de contenidos categoría está disponible actualmente en la base de datos de filtrado de URL. La categoría de comando y control será visible en la consola de administración del administrador pero no será funcional. Durante este tiempo, puede actualizar la acción a bloquear para la categoría de comando y control. Cuando la funcionalidad está disponible, todas las URLs de C2 se categorizarán y bloqueado (si establece en bloque) por la funcionalidad de filtrado de URL.
¿Cuando estará funcional la categoría C2?
La funcionalidad completa, que es la categorización en vivo de URLs C2, ocurrirá el miércoles 25 de octubre de 2017. Esto significa que usted comenzará a ver y el bloqueo (si se han actualizado las políticas y perfiles) URL categorizadas como C2 en sus cortafuegos.
¿Puedo probar la categoría C2 antes de funcionalidad completa?
Sí, usted puede probar su perfil C2 / políticas antes de funcionalidad completa liberación. Puede utilizar esta URL para probar la categorización C2: https://urlfiltering.paloaltonetworks.com/test-Command-and-control si los perfiles/Policies están correctamente configurados, el Firewall bloqueará y registrará el acceso a la URL.
¿Esto se aplica a PAN-DB y Brightcloud para filtrado de URL?
No, esto es sólo para el filtrado de URL de pan-dB y actualmente no se aplica al filtrado de URL de Brightcloud.
Nota: se recomienda suscribirse a esta FAQ para actualizaciones de línea de tiempo cuando estén disponibles.
Véase también
Asegúrese de que el comando y Control es reconocido por filtrado de URL de PAN-DB
De Kelvin Kwan